Last Updated @ 2014-2-9

美国时间2014年1月22日，CrowdStrike【一个新兴的cybersecurity情报分析公司】发布了首份，聚焦2013年的网络空间威胁。报告通过对超过50个***组织的追踪给出了这份总结。这些***组织来自中国、伊朗、叙利亚、印度、朝鲜和俄罗斯。报告对其中典型的***行动的技战术（TTP）进行了剖析，譬如水坑***。

不同于其他报告更多关注来自中国的***行动，这份报告可谓全面，涵盖了多个国家。并且，报告站位很高，从国际政治经济的高度来看待网络战，看待APT，涉及朝核、伊核、叙利亚危机、中东突变等国际问题。

报告首先分析了当前正在广泛被使用的水坑***（他们叫SWC，有策略地WEB***），这是一种继定向钓鱼(spear phishing)后有一种经典的初始***和恶意代码注入的手段。正如我博文中枚举的，2013年之前，绝大部分APT***首先都起始于定向钓鱼，通过邮件附件中的0day漏洞利用去进入被***者目标，然后释放恶意代码。但是，水坑***转变了做法，他不再直接发邮件，而是对被***者必去或者常去的网站进行***，然后坐等目标上钩。我个人认为，广泛意义上说，水坑***可以看作是一种针对供应链的***。

报告分析了一个叫做“对外关系委员会”的APT***行动。这个委员会是一个NGO组织。***者利用CVE-2012-4792这个IE漏洞攻陷了这个NGO的网站，在其网站的一些页面中植入了恶意代码。更有趣的是，不是多有受害者访问这些网页都会中招，只有使用特定HTML语言（字符编码）的人才会中招。

报告总结了几大APT行动组织，包括叙利亚电子军（Deadeye Jackal）、Number Panda（意指来自中国，又进一步分为N个panda）、Magic Kitten（来自伊朗）、Energetic Bear（来自俄罗斯）、并列举了这些组织的一系列***行动，及其他们的惯用TTP、***框架。

有趣的是CrowdStrike对这些组织用不同的动物来代表，熊猫、北极熊，等等（叙伊等称作豺狼虎豹），很形象。

值得注意的是，CrowdStrike是如何划分出各个组织的。正如我在之前博文中（譬如，，还有台湾的那个组织）提到的那样，当前一个很重要的反cyberwar行动就是对各个敌对组织的辨识和归类。辨识可能涉及到反***、反追踪、涉及到蜜网。而归类则需要对敌对组织的***TTP（也可以理解为***者的技战术，譬如***手法、操控的僵尸网络、恶意代码的软件框架、常用的RAT软件、特定恶意代码开发者的种族背景语言文化风俗和编程习惯，等等）进行深入分析，找到他们的共通之处。所有这一切，都属于新型分析的范畴。

最后，报告比较详细地分析了2014年世界可能面对的新型威胁，大多源自地区军事和政治冲突，还有有组织（金融）犯罪集团。

【参考资料】